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(57) Abstract: An authentication server (SA) 
automatically selects one from several authen- 
tications, identified by means of authentication 
identifiers (AUID), for the authentication of a user 
of a terminal (T) and to authorise the same to have 
access to a service provided by a provider service 
server (SE), identified by a provider identification 
(PRID), by means of a communication network 
(RC). The server is characterised in comprising 
a selection module (MSA), for selection from 
a memory (TAl to TA6) of an authentication 
identifier (AUID) as a function of the provider 
identifier, the type of the terminal and/or the type 
of commanication network and an authentication 
module (MA), for authentication of the user by 
initiating an authentication process associated 
with the authentication identifier. 

(57) Abrege : Un serveur d'authentifi cation (SA) 
selectionne automatiquement Tune de plusieurs 
authentifications identifiees par des identificateurs 
d'authentification (AUID) afin d'authentifier un 
usager d*un terminal (T) et Tautoriser a acceder a 
un service dispense par un serveur de service (SE) 
d*un prestataire identifi6 par un identificateur 
de prestataire (PRID) k travers un reseau de 
communication (RC). Le serveur est caracterise 
en ce qu'il comprend un module de selection 
(MSA) pour selectionner dans une memoire 
(TAl a TA6) un identificateur d'authentification 
(AUID) en fonction de Tidentificateur de 
prestataire et du type du temiinal et/ou du type 
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Systeme de selection au-toma-bxc^e d' authentif ication 

La presente invention concerne un serveur pour 
authentifier un usager d'un terminal pour acceder a 
5 un service delivre par un prestataire via un 
mandataire en selectionnant dynamiquement une 
procedure d * authentif ication a travers un reseau de 
telecommunications. Plus precisement, la procedure 
d ' authentif ication correspond a une authentif ication 
10 selectionnee en fonction au moins du prestataire, du 
terminal, du reseau et d'un niveau de securite 
d ' authentif ication . 

Les nombreux systemes d ' authentif ication 
15 existants se dif f erencient par des niveaux de 
securite et des procedures d ' authentif ication . Une 
authentif ication classique par identif icateur (login) 
et mot de passe est statique, c'est-a-dire 
1 ' identif icateur et le mot de passe transmis a 

20 travers le reseau sont identiques lors 
d * authentif ications successives. Cette 

authentif ication peut subir des piratages de mot de 
passe et offre ainsi un niveau de securite 
d' authentif ication faible. 

25 Une authentif ication par "nombre aleatoire 

(challenge) /r6ponse" est dynamique. Elle repose sur 
un principe de mot de passe a usage unique appele OTP 
(One-Time Password). La capture d'un mot de passe est 
alors inutile puisque le mot de passe n'est pas 

30 reutilisable . Lorsqu'un usager desire etre 
authentif ie aupres d'un serveur, le serveur genere un 
nombre aleatoire appele "challenge", et le transmet 
au terminal de 1' usager. L' usager saisit le mot de 
passe et 1' applique par des algorithmes de 

35 chiffrement et de hachage. Le terminal de 1' usager 
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transmet l^OTP au serveur qui dispose alors des 
informations necessaires a 1 * authentif ication de 
1 'usager . 

Des autheritif ications a base de certificats sonfe 
5 egalement dynamiques. Elles implement ent des 
algorithmes de cryptographie a cles publiques et 
asymetrigues . Un certificat comprend \ane identite 
d'usager, une cle publique et une cle privee qui sont 
certifiees par une autorite de certification. La cle 

10 privee est gardee secrete par I'usager et memorisee 
dans le terminal de l*usager. Un mot de passe saisi 
ou prononce ; une empreinte biometrique ou un code 
confidentiel peut etre necessaire pour activer la cle 
privee. En pratique apres 1' activation de la cle 

15 privee, un serveur transmet un challenge au terminal 
d'usager. Le terminal d'usager signe le challenge 
avec la cle privee de I'usager correspondant et le 
transmet au seirveur. Le seirveur authentifie alors 
I'usager avec la cle publique de I'usager. Par 

20 exemple, une authentif ication par signature 
electronique est a base de certificats. 

Comme les procedures d * authentif ication sont 
generalement complexes et contraignantes a mettre en 

25 place, un mandataire de prestataires de services peut 
assurer de maniere transparente des procedures 
d' authentif ication d'usager pour le cottrpte de ses 
clients appel6s "prestataires". Par exemple, un 
prestataire proposant un service d ' information en 

30 temps rSel sur internet fait appel a un mandataire 
afin c[ue celui-ci gere integralement la procedure 
d ' authentif ication de I'usager. Les procedures 
d ' authentif ication du mandataire sont generalement 
identiques sur xin m§me r^seau pour tous les 

35 prestataires, clients du mandataire. De plus, un 
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prestataire ne peut pas modifier facilement ' la 
procedure d ' authentif ication de son choix en fonction 
du couple terminal (mobile, PC, television, PDA) et 
reseau de telecommimication (GPRS, internet) utilise 
5 par les usagers . 

La presents invention a pour object if de 
remedier aux inconvenients precites en selectionnant 
automat iquement une authentif ication en fonction du 
10 prestataire et de caracteristiques d'un terminal 
d'usager et d?un reseau de telecommunications. 

Pour atteindre cet objectify un serveur 
d* authentif ication pour selectionner automatiquement 

15 I'une de plusieurs authentif icat ions identifiees 
respect ivement par des identif icateurs 

d' authentif ication af in. d' authentif ier un usager d*un 
terminal pour I'autoriser k acceder a un service 
dispense par un serveur de service d'un prestataire 

20 identif ie par un identif icat eur de prestataire a 
travers un reseau de communication, est caracteris6 
en ce qu'il comprend : 

un moyen pour selectionner dans une memoire un 
identif icateur d ' authentif ication en fonction de 

25 1 ' identif icateur de prestataire et du type du 
terminal et/ou du type du reseau de communications, 
et un moyen pour authentif ier 1 'usager selon un 
processus d ' authentif ication associe a 

1 » identif icateur d» authentif ication. 

30 

Le moyen pour selectionner peut selectionner 
egalement 1 ' identif icateur d ' authentif ication en 
fonction d'un niveau de securite d' authentif ication 
en correspondance a 1 ' identif icateur de prestataire, 
35 et/ou en fonction de regies d ' authentif ication 
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associees a 1 * identif icateur de prestataire • et 
appliquees a au moins un niveau de secur±te 
d ' authentif ication correspondant a 1 * identif icateuar 
de prestataire et/ou au type du terminal et/ou au 
5 type du reseau de communication. 

Selon une premiere realisation, lorsque I'usager 
desire utiliser un service offert par le serveur de 
service, une connexion est etablie entre le terminal 

10 d'usager et le serveur de service qui demande 
1 'authentif ication de I'usager au moyen pour 
selectionner . Dans cette premiere realisation, le 
serveur de- service comprend un moyen pour transmettre 
au moins 1 ' identif icateur de prestataire et le type 

15 du terminal et/ou le type du reseau de communication 
au moyen pour selectionner en reponse a une connexion 
etablie entre le ternninal d'usager et le serveur de 
service, en reponse a la connexion etablie precitee. 

Selon une deuxieme realisation, une connexion 

20 est etablie entre le terminal d'usager et le moyen 
pour selectionner lorsque I'usager souhaite utiliser 
un service dans le serveuir de seirvice . Dans cette 
demidre realisation, le moyen pour selectionner 
transmet au terminal une liste de services identifies 

25 par des identif icateurs de service en reponse a la 
connexion etablie pr^cit^e, et le terminal transmet 
au moyen pour selectionner un identif icateur de 
service d'un service selectionne par I'usager dans la 
liste transmise, afin que le moyen pour selectionner 

30 selectionne 1 ' identif icateur d ' authentif ication en 
fonction egalement de 1 ' identif icateur de service 
selectionne. Selon une variante de la deuxieme 
realisation qui peut etre combin^e a celle-ci, le 
moyen pour selectionner transmet au terminal une 

35 liste d' identif icateurs de prestataire en reponse a 
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line connexion etablie entre le terminal d*usager et 
le moyen pour select ionner, et le terminal transmet 
au moyen pour select ionner un identif icateur de 
prestataire selectionne par I'usager dans la liste 
5 transmise, afin que le moyen pour selectionner 
selectionne 1 ' identif icateur d ' authentif ication en 
f onction notamment de 1 ' identif icateur de prestataire 
selectionne . 

10 L' invention conceme ^galement un precede pour 

selectionner automat iquement I'lxne de plusieurs 
authentif icat ions identif iees respectivement par des 
identif icateur s d • authentif ication afin 

d' authentif ier un usager d'un terminal pour 

15 I'autoriser a acceder a un service dispense par un 
serveur de service d'un prestataire identif ie par un 
identif icateur de prestataire a t ravers un reseau de 
communication. Le precede est caracteris6 en ce qu'il 
comprend les e tapes de : 

20 - selectionner dans une memoire un 

identif icateur d' authentif ication en f onction de 
1 ' identif icateur de prest.ataire et du type du 
terminal et/ou du type du reseau de communication, et 
authentif ier 1 'usager selon un processus 

25 d ' authentif ication associe a 1 ' identif icateur 
d' authentif ication. 

D'autres caract^ristiques et avantages de la 
presente invention apparaxtront plus clairement k la 
30 lecture de la description suivante de plusieurs 
realisations prefer^es de 1' invention, a titre 
• d'exemples non limitatifs, en reference aux dessins 
annexes correspondants dans lesquels : 
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- la figure 1 est un bloc-diagramme schematicgue 
d»un systeme de selection automaticgue 
d* authentif ication selon 1 * invention ; 

- la figure 2 est.un algorithme schematique d'un 
5 procede de selection d* authentif ication mis en oeuvre 

dans le systeme de selection automaticgue 
d' authentif ication selon une premiere realisation de 
1» invention ; 

- la figure 3 est un algorithme schematique d'un 
10 procede de selection d' authentif ication mis en oeu-vre 

dans le . systeme de selection automatique 
d 'authentif ication . selon une deixxieme realisation de 
1 ' invention. 

15 Dans les realisations de 1' invention, le systeme 

de selection automatique d' authentif ication off re des 
echanges d • informations entre un mandataire, un 
prestataire de seirvice et un usager. 

20 Le systeme de selection automatique 

d' authentif ication selon 1 ' invention est base sur lone 
architecture du type client - seirveur - II comprend 
principalement , en reference a la figure 1, plusieurs 
terminaux d' usager interactifs T, au moins un serveur 

25 d» authentif ication SA en tant que "mandataire" et au 
moins un serveur de service SE en tant que 
"prestataire" . 

Un usager accede a travers son terminal 
interactif a des services necessitant une 

30 authentif ication de 1 'usager. Selon la realisation 
illustree a la figure 1, un terminal d' usager est 
par exemple du type recepteur de television 
intelligent. Le recepteur de television coopere 
avec une telecommande a afficheur et clavier 

35 alphanumerique servant egalement de souris a travers 
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une liaison inf rarouge . En variante, la telecommande 
est completee par un clavier plus complet sans fil 
relie par liaison radioelectrique de proximite au 
televiseur. 

5 D*autres terminaux domestiques portables ou non 

sont envisageables tels que micro-ordinateur , 
telephone, console de jeux video, poste de radio, 
centrale d'alarme, etc. Le terminal T est desservi 
par une liaison de telecommunications LT et un rSseau 

10 d'accds RA, tels qu'une ligne telephonique et le 
reseau telephonique commute, pour etre connect^ ^ un 
reseau de transmission de paquets a haut debit RP du 
type internet auquel est relie le serveur 
d'authentif ication SA. 

15 Selon un autre exeraple, le terminal d'usager T2 

de preference dote au moins d'un haut-parleur est un 
ordinateur personnel relie directement par modem k la 
liaison LT. Selon d'autres exemples, le terminal 
d'usager T3 conprend un dispositif ou objet 

20 eiectronique de telecommunications personnel a 
I'usager qui peut etre un assistant numerique 
personnel PDA, ou bien cpmprend un poste radio 
intelligent a la place du recepteur de television T^, 
les deux types de recepteur pouvant coexister- 

25 La liaison de telecommunications LT peut etre 

une ligne xDSL (Digital Subscriber Line) ou une ligne 
RNIS (Reseau Numerique a Integration de Services) 
reliee au reseau d ' acces correspondant . 

Selon encore un autre exemple, le terminal T4 

30 est un terminal radiotelephonique cellulaire mobile, 
la liaison de telecommunications LT est un canal 
radiotelephonique, et le rSseau d' acces RA est le 
reseau fixe d'un reseau de radiotelephonie, par 
exemple de type GSM (Global System for Mobile 
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communications) ou UMTS (Universal Mobile 

Telecommunications System) • 

Les terminaux d'usager et les reseaux d'acces ne 
sont pas limites aux exemples ci-dessus illustres a 
5 la figure 1 et peuvent etre constitues par d'autres 
terminaux et reseaux d'acces coxinus . 

Le serveur d' authentif ication SA comprend un 
. module de selection d* authentif ication MSA, un module 
10 d' authentif ication MA et au moins une memoire a six 
tables de correspondance TAl 3. TA6 . Le serveur 
d'authentification est associS un. mandataire , 

Dans une variante, le serveur d" authentif icatxon 
SA con^rend deux serveurs distlncts incluant 
15 respect ivement le module de selection 

d« authentif ication MSA et le module 

d'authentification MA-. Par exemple, le module MA est 
dans un serveur HTTP quelconcjue relie au reseau de 
telecommunication RC et done au reseau de paquets RP, 
20 et ainsi communique avec le serveur SA incluant le 
module MSA. 

La premiere table TAl fait correspondre un 
identif icateur d' authentif ication AUID a un 
identif icateur de processus d' authentif ication PAID. 

25 Une authentif ication designe en general un ensemble 
de parametreS; tels que login, mot de passe et des 
caracteristiques d'usager et un ensemble de processus 
d' authentif ication utilisant cet ensemble de 
parametres. Un processus d ' authentif ication definit 

30 des etapes successives d'une authentif ication 
identif iee par 1 ' identif icateur d ' authentif ication 
AUID. 

La deuxieme table TA2 fait correspondre 
1 • identif icateur d' authentif ication AUID de chaque 
35 authentif ication a au moins un type du terminal T 



wo 2005/015877 



9 



PCT/FR2004/00194 1 



et/ou un type d'un reseau de communication RC pouvant 
supporter 1 ' authentif ication identifiee. En effet, 
les authentif ications different selon le type du 
terminal T et/ou le type du reseau de communication 
5 RC a travers lequel transitent les messages echanges 
entre le terminal et le serveur SE ou SA selon une 
premidre ou dexixieme realisation de precede decrite 
plus loin. 

Le reseau de communication RC. est defini par un 

10 ensemble de lignes' et d'appareils necessaires a une 
transmission specif ique de donn^es • Par exemple un 
reseau SMS (Short Message Service) est un reseau de 
communication assimile S une partie du reseau GSM 
reutilisee dans le transfert de messages courts et 

15 d'appareils specif iques tel qu'ion serveur de messages 
courts. Un reseau vocal const itue d'une plateforme 
. vocal e VXMIj (Voice extensible Markup Language), de 
serveurs applicatifs et d'une partie du reseau 
radiotelephonique ou telephonique commute est un 

20 autre reseau de communication. Selon d'autres 
exemples, un reseau de communication selon 
1' invention peut etre au moins I'un des reseaux GSM, 
UMTS, WAP (Wireless Application Protocol) , USSD 
(Unstructured Supplementary Services Data), Internet, 

25 etc- 

La troisieme table TA3 associe au moins un 
identif icateur de service SID a au moins un 
identif icateur de prestataire de service PRID, c'est- 
a-dire un identif icateur PRID d'un serveur de service 

30 SE dispensant un service identifie par 
1 • identif icateur SID. Un service peut §tre associe a 
un ou plusieurs prestataires et reciproquement un 
prestataire peut etre associe a un ou plusieurs 
services, A des fins de simplification, le mot 

35 "prestataire" peut designer egalement au moins un 
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service gere par le prestataire/ voire au moixis ion 
serveur de service gere par le prestataire. 

La quatrieme table TA4 fait correspondre a 
•chaque identif icateur de prestataire PRID aucune on 
5 au moins une regie d ' authentif ication RE et au moins 
xxn niveau de securite d ' authentif ication NAU autorise 
par le prestataire identif ie par 1 ' identif icateur de 
prestataire, ou au moins un identif icateur 
d' authentif ication AUID. Las regies 

10 d' authentif ication definissent par exemple une action 
a executer lorsque plusieurs niveaux de security 
d» authentif ication sont autoris^s par un prestataire 
et/ou lorsque les types du terminal T et du reseau de 
communication RC identifies supportent plusieurs 

15 authentif icat ions ayant un niveau de securite 
d ' authentif ication autorise. 

La cinquieme table TAB associe a chaque niveau 
de security d' authentif ication NAU au moins un 
identif icateur d' authentif ication AUID. 

20 La sixieme table TA6 contient' des 

identif icateurs d'usager USID dont les usagers ont 
chacun un acces a au moins - un couple identif icateur 
de prestataire et identif icateur de service (PRID, 
SID) qui est interdit, et event uellement fait 

25 correspondre 1 • identif icateur USID d'un usager a des 
informations respectives IMP susceptibles de 
renseigner sur des causes d' interdiction de service 
relatives a 1 'usager. Par exemple, les informations 
IMP renseignent sur des defauts de paiement par 

30 1' usager. La table TA6 en liaison avec la table TAB 
fait correspondre a chaque identif icateur d' usager 
USID au moins un couple identif icateur . de prestataire 
PRID et identif icateur de service SID. 
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Le module d ' authentif ication MA comprend • lone 
memoire de type PROM qui inclut plusieurs processus 
(algorithmes) d' authentif ication designes par des 
identif icateurs PAID, et une base de donnees 
5 d'usagers comprenant au moins deux tables de memoire 
TAAl et TAA2 . La table TAAl associe 1 • identif icateur 
USID de chac[ue usager a des informations personnel les 
sur 1 'usager, tels qu'un nom, un prenom, un mot de 
passe, un login, 'etc., la table TAA2 associe 
10 1 » identif icateur USID d'un usager & au moins un 
couple identif icateur de prestataire PRID et 
identif icateur de service SID. 

De preference, le systeme de selection 

15 automatique d» authentif Ication selon 1 ' invention 
comprend plusieurs serveurs de service SE^^ a SE^ 
montres a la figure 1. Un serveur de service est de 
type serveur HTTP classique et dispose d'au moins une 
application dispensant au moins \m service aupres de 

20 plusieurs usagers a travers les terminaiix T. Au moins 
un serveur de service SE est associe a uxx prestataire 
de service proposant au moins un service aux usagers. 
La nature des services importe peu pour 1' invention. 
A titre d'exemple, un service est une consultation de 

25 compte bancaire ou la reception d'actualites 
boursieres- Un outil de programmation tel qu'une 
interface de programmation d' application API 
(Application Programming Interface) est installe sur 
chaque serveur de service SE. Get outil API assure 

30 des echanges de donnees formatees entre I'une des 
applications de service implementees dans I'un des 
serveurs de service SE et le serveur 
d * au t hent i f i c a t i on SA . 
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Un precede de selection d ' authentif icatibn 
. compr end principal ement des etapes El a E13 selon une 
premiere realisation montree a la figure 2. Un 
terminal d*usager T requiert une connexion avec I'un 
5 des serveurs de service SE a l^etape El, en lui 
transmettant une demande d'acces de service. 

En reponse a la connexion etablie entre le 
terminal d'usager et le serveur de service SE, 
I'outil de programmation API installe dans le serveur 

10 de service SE etablit une connexion avec le serveur 
d » authentif ication SA pour transmettre au module de 
selection d' authentif icat ion MSA 1 ' identif icateur de 
prestataire PRID, le type du terminal T et le type du 
reseau de communication RC , et des identif icateurs 

15 de service SID lorsque plusieurs services ^ sont 
proposes par le prestataire gerant le serveur SE, a 
I'etape E2 . Le serveur de service SE redirige la 
connexion avec le terminal d'usager T vers le servetir 
d ' authentif ication SA en transmettant I'adresse URD 

20 (Uniform Ressource Locator) du serveur SE au terminal 
T. Le tearminal d'usager T est alors redirige vers le 
serveur d ' authentif icat ion SA. 

Le module de selection d' authentif ication MSA 
select ionne dans une memoire (TAl ^ TA6) un 

25 identif icateur d • authentif ication AUID en fonction en 
outre de 1 ' identif icateur de prestataire PRID et du 
type du terminal T et/ou du type de rSseau de 
communication RC transmis, afin que le module 
d' authentif ication MA lance ulterieurement un 

30 processus d ' authentif ication associe & 

1 ' identif icateur d' authentif ication selectionn6 AUID 
dans le terminal d'usager T. 

A I'etape E3 , le module de selection 
d' authentif ication MSA dans le serveur 

35 d' authentif ication SA selectionne dans la table TA4 
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au moins un niveau de securite d' authentif ication* NAU 
cor-respondant a 1 ' identif icateur du prestataire 
transmis PRID. Le niveau de securite 

d* authentif ication contribue egalement a ,1a selection 
5 de 1 ' identif icateur d » authentif ication AUID. En 
variante, lorsque plusieurs niveaux de securite 
d ' authentif ication sont determines a I'etape E3 , les 
regies d ' authentif ication RE associees a 
1 • identif icateur de prestataire PRID dans la table 
10 TA4 permettent de selectionner un seul niveau 
d« authentif ication NAU et ainsi participent a la 
selection de 1 • identif icateur d' authentif ication 
AUID, Par exemple, une rdgle d' authentif ication est : 
"selectionner en permanence le niveau de securite 
15 d' authentif ication le plus elevi". 

Puis * a I'etape E4, le module de selection MSA 
select ionne dans la table TA5 au moins un 
identif icateur d« authentif ication AUIDl correspondant 
au ou aux niveaux de securite d » authentif ication NAU 
20 selectionnes a 1 ' etape E3 . 

A 1* etape E5 , le module de selection MSA 
select ionne dans la table TA2 au moins un 
identif icateur d ' authentif ication AUID2 correspondant 
au type du terminal et/ou au type du reseau de 
25 communication transmis par le serveur SE. En 
variante, 1' etape E5 se deroule avant ou apr^s 
1 ' etape E3 . 

A 1' etape E6, le module de selection MSA 
determine des identif icateurs d • authentif ication 

30 AUID3 coramuns aux identif icateurs d' authentif ication 
AUIDl et AUID2 selectionnes aux etapes E4 et E5 . 
Lorsqu'il n'y a aucun identif icateur d'authenti- 
f ication commun, un message de re jet signalant un 
rejet de 1 ' acces au service demande par l*usager est 

35 envoye par le serveur d • authentif ication SA au 
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terminal d'usager T a une etape E71. Lorsque 
plusieurs . identif icateurs d ' authentif ication AUID3 
sont en commun, les regies d * authentif ication RE 
associees a i ' identif icateur de prestataire PRID 
5 permettent de ne selectionner qu'xin seul 
identif icateur d • authentif ication AUID a une etape 
E72 . 

Le module de selection d ' authentif ication ayant 
selectionne 1 ' identif icateur de 1 ' authentif ication 

10 AUID, le module d ' authentif ication MA dans le serveur 
d' authentif ication SA selectionne dans la table TAl 
un identif icateur de processus d ' authentif ication 
PAID correspondant a 1 ' identif icateur 

d' authentif ication AUID a 1 • etape E8 . Le module 

15 d' authentif ication MA lance le processus 
d' authentif ication identif ie par 1 ' identif icateur de 
processus, selectionne PAID a 1 • etape E9 . Le processus 
d' authentif ication definit des etapes qui composent 
1 "authentif ication associee au ' processus. Par 

20 exemple, 1 ' authentif ication selectionnee est une 
authentif ication classique par login et mot de passe, 
et I'une des etapeg du processus de 
1 'authentif ication est alors un envoi d'une demande 
de saisie du login et du mot de passe par le serveur 

25 d' authentif ication SA au terminal d'usager T. 

Lorsque I'usager n'est pas authentif ie ^ 1* etape 
ElO le module d ' authentif ication MA du serveur 
d' authentif ication SA transmet au terminal un message 
de rejet a xme etape E012 . 

30 Un usager authentifie est ainsi un usager dont 

1 ' identif icateur USID est inclus dans la table de 
. memoire TAAl du module d' authentif ication MA. 

Lorsque 1 'usager est authentifie, le module 
d' authentif ication MA verifie dans la table TAA2 si 

35 1' usager a souscrit au couple prestataire/service a 
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une etape Ell, c»est-a-dire si 1 * identif icateur 
d'usager USID est associe au couple identif icateur de 
prestataire selectionne et identif icateur de service 
selectionne (PRib, SID) dans la table TAA2 . Lorsque 
5 I'usager n*a pas souscrit au couple 

prestataire/seirvice, le module d ' authentif ication MA 
transmet au terminal un message de re jet a 1 ' etape 
E012 . 

Lorsque I'usager est authentif i6 et a souscrit 
10 au couple prestataire/service, le module 

d* authentif ication MA verifie dans la table TA6 si 
I'usager n'est pas interdit d'acces au couple 
identif icateur de prestataire et identif icateur de 
service (PRID, SID) a ' 1 ' etape E12 . Lorsque 1 ' usageir, 
15 est interdit d'accds, le module d ' authentif ication 
transmet au terminal un message de re jet & 1' etape 
E012 . 

Lorsque I'usager n'est pas interdit d'acces, et 
done a la suite d'une authentif ication positive de 

20 I'usager, le module d' authentif ication MA dans le 
serveur d ' authentif ication SA commande une 
redirection de la connexion avec le terminal T vers 
le searveur de service SE. Le module MA dans le 
serveur SA commande egalement la transmission du type 

25 du terminal, du type du reseau de communication, de 
1 * identif icateur de service SID, du niveau de 
securite d' authentif ication NAU selectionne ou 
designe par 1 ' identif icateur d • authentif ication AUID, 
et eventuellement de 1 ' identif icateur d'usager USID 

30 et/ou d'un ticket de facturation et/ou d'un resultat 
de 1 ' authentif ication de I'usager qui est ici 
positif, au serveur de service SE, plus 
particulierement a I'outil de programmation API du 
serveur de seirvice, a 1 'etape E13. La transmission de 
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1/ identif icateur de service SID est utile lorsque le 
serveur de service SE dispense plusieurs se3rvices. 

En pratique, le module d' authentif ication MA 
memorise le resultat de . .1 » authentif ication de 
5 l»usager afin de conserver ime trace de 
1 » authentif ication lors d'un litige entre I'usager du 
terminal T et le prestataire gerant le seirveur de 
service SE. 

En variante, au moins I'une des etapes Ell et 
10 E12 precede les etapes d 'authentif ication E8, E9 et 
ElO . 

Dans une variante principale de la premiere 
realisation, le- module de selection d^authen- 

15 tif ication MSA dans le serveur d * authentif ication SA 
selectionne a I'etape E3 dans la table TA4 tous les 
identif icateurs d' authentif ication AUID associes a 
1.' identif icateur de. prestataire PRID transmis par le 
serveur de service SE au lieu de selectionner un 

20 niveau de securite d' authentif ication NAU. Dans cette 
variante, I'etape E4 est supprimee. A 1 ' etape E5, le 
module de selection MSA selectionne dans la table TA2 
au moins ixa identif icateur d' authentif ication AUID2 
correspondant au type du terminal T et/ou du reseau 

25 de communication RC transmis par le serveur SE. A 
1' etape E6, le module de selection determine des 
identif icateurs d' authentif ication communs a ceux 
resultants des selections realisees aux etapes E3 et 
E5. Lorsqu'-aucun . identif icateur d 'authentif ication 

30 commun n'est determine par le module de selection, un 
message de re jet est envoye du serveur 
d' authentif ication SA au terminal d'usager T a 
1' etape E71- Lorsque plusieurs identif icateurs 
d' authentif ication sont en commun, les regies 

35 d' authentif ication RE associees a 1 ' identif icateur de 
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prestataire PRID permettent de ne selectionner qu ' un 
seul identif icateur d ' authentif ication AUID a 1 ' etape 
E72 . Les etapes suivantes sont identiques a celles de 
la premiere realisation. 
5 Un parametre peut etre renseigne au niveau de 

I'outil de programmation API par le prestataire, afin 
de choisir entre un mode par niveau de securite 
d * authentif ication correspondant a la premiere 
realisation et un mode par authentif ication 
10 correspondant a la variante 6noncee ci-dessus. Ce 
paramdtre est transmis par I'outil API au serveur 
d' authentif ication SA a 1 ' etape E2 . Ce parametre peut 
etre associe prealablement a 1 ' identif icateur de 
prestataire PRID dans la table TA4. 

15 

Dans une deuxieme realisation, le proc^de de 
selection d' authentif ication comprend principal ement 
des etapes FX a F16 montrees & la figure 3 . Le 
terminal requiert une connexion directe avec le 

20 module de selection d ' authentif ication MSA dans le 
serveur d ' authentif ication SA a I'etape Fl . 

En reponse a la connexion etablie entre le 
terminal d'usager T et le module de selection MSA, le 
serveur d * authentif ication SA ou plus precisement le 

25 module de selection d' authentif ication MSA transmet. 
au terminal T une liste de services {SID} differents 
contenus dans la table TA3 3. I'etape F2 . La liste de 
services {SID} comporte au moins les identif icateurs 
SID des services et en variante d'autres 

30 caracteristiques comme un nom et une description de 
chaque service. L'usager du terminal T select ionne un 
service dans la liste de services {SID} . Le terminal 
T transmet au module de selection MSA 
1 ' identif icateur de service SID associe au service 

35 selectionne par I'usager k 1 ■ etape F3 dans la liste 
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transmise. Lie module de selection d ' authentif ication 
. selectionne 1 * identif icateur d ' authentif ication AUID 
en fonction egalement de 1 ' identif icateur de service 
selectionne SID. 
5 A I'etape F4 le serveur d » authentif ication SA 

selectionne dans la table TA3 tous les 
identif icateurs de prestataire correspondant a 
1 * identif icateur de service selectionne SID, sous la 
forme d'une liste d * identif icateurs de prestataire 
10 {PRID}. 

Lorsque la liste d' identif icateurs de 
prestataire comprend plusieurs identif icateurs de 
prestataire PRID correspondant a 1 ' identif icateur de 
service selectionne SID, le searveur 

15 d' authentif ication SA transmet au terminal d'usager T 
la liste {PRID} des identif icateurs de prestataire 
susceptibles d'offrir le service . identif ie par 
1 'identif icateur de service SID, ^ une etape F51, 
Cette liste . d' identif icateurs de prestataire {PRID} 
20 con5>orte au moins les identif icateurs des 
prestataires et en variante d'autres caracteristiques 
comme un nom et une , description de chaque 
prestataire. L'usager du terminal selectionne un 
prestataire puis le terminal transmet au seorveur 
25 d' authentif ication SA 1 ' identif icateur PRID du 
prestataire selectionne par I'usager a une etape F52 . 

Lorsqu ' auciin identif icateur de prestataire ne 
correspond ^ .1 ' identif icateur de service SID, un 
message d'erreur est transmis par le serveur 
30 d' authentif ication SA au terminal T a une etape F53, 
afin de notifier a I'usager du terminal qu'aucun 
prestataire ne delivre encore ce service. 

Dans une variante, le serveur d ' authentif ication 
35 SA transmet directement une liste de tous les 
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identif icateurs de prestataire contenus dans la table 
TA4 au texTninal T, a la place de la liste des 
identif icateurs de service, a 1 ' etape F2 . L'usager 
select ionne directement un prestataire, et 
5 1 * identif icateur de prestataire selectioiin6 PRID, a 
la place de 1 ' identif icateur de service SID 
select ionne, est alors transmis par le terminal T au 
module de selection d ' authentif ication MSA du serveur 
d'authentif ication SA a I'etape F3 . * Le module de 
10 selection d ' authentif ication MSA selectionne 
1 ' identif icateur d' authentif ication AUID en fonction 
notamment de 1 ' identif icateur de prestataire PRID 
selectionne . 

Iiorsqpae plusieurs identif icateurs de service 
15 correspondent & 1 ' identif icateur de prestataire PRID 
selectionne precedemment , le serveur 

d ' authentif ication transmet au terminal chac[ue 
identif icateur de prestataire et la liste 
d ' identif icateurs de service associee a 1 ' 6tape F2 . 
20 L'usager du terminal selectionne le prestataire et 
I'un des services offerts par le prestataire 
selectionne, puis le terminal T transmet au serveur 
d ' authentif ication SA 1 ' identif icateur PRID du 
prestataire et 1 ' identif icateur SID du service 
25 selectionnes par I'usager du terminal, a 1 ' etape F3 . 

Dans cette variante, les etapes F4, F51, F52 et F53 
s on t suppr i me e s . 

Le serveur d' authentif ication SA a alors en 
30 memoire le couple identif icateur de prestataire et 
identif icateur de seirvice (SID, PRID) correspondant 
au souhait de I'usager. 

Les etapes suivantes F6 a F15 correspondent 
respect ivement aux etapes E3 a E12 de la premiere 
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realisation de precede de selection montree a" la 
figure 2 . 

A I'etape F8 correspondant a 1 ' etape E5, le 
serveur d • authentif ication SA determine le type du 
^ 5 terminal et le type du reseau de communication RC 
utilise pour communiquer entre le teirminal T et le 
serveur d ' authentif ication SA. Puis ce dernier 
selectionne au moins un identif icateur 

d» authentif ication AUID2 en fonction du type du 
10 terminal T et/ou du type du reseau de communication 
RC, comme cela a ete decrit pour I'etape E5 . 

Lorsque l^usager est authentifie, a souscrit au 
couple prestataire/service, et est autorise a acceder 
au couple prestataire/service, le serveur 
15 d' authentif ication SA redirige la connexion avec le 
terminal T vers le serveur de service SE et transmet 
a I'etape F16 au serveur de service SE, et plus 
particulierement a I'outil API du serveur de se3rvice 
SE, le type du terminal, le type du reseau de 
20 communication de I'usager, 1 ' identif icateur de 
service SID, le niveau de securite d ' authentif ication 
NAU selectionne, et eventuellement 1 ' identif icateur 
d'usager USID et/ou un ticket de facturation et/ou le 
resultat de 1 ' authentif ication qui est positif. 
25 Lorsque le resultat de 1 ' authentif ication de 

I'usager est positif et transmis ou plus simplement 
lorsque le type du terminal, le type du reseau de 
communication, 1 » identif icateur de service et le 
niveau de securite d ' authentif ication sont transmis, 
30 le serveur de service SE autorise le terminal 
d'usager S acceder au service souhaite par I'usager 
et identif i# par 1 ' identif icateur de service SID. 
Dans d'autres cas, I'acces est refuse a I'usager 
comme indique a I'etape E012 . 
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Le type du terminal T et le type du reseau de 
communication RC sont transmis afin que le se3rveur de 
service SE adapte la commiinication au terminal. Par 
exemple, si le terminal est un terminal 
5 radiotelephonique cellulaire mobile et le protocole 
d'echange avec celui-ci a travers 1 ' internet est de 
type WAP, le serveur de service SE communiquera avec 
le terminal en utilisant le langage WML (Wireless 
Markup Language) . 

10 

Dans une variante de la deuxidme realisation, 
apres 1 ' et ape Fl et avant 1 ' etape F2 , 1 » usager du 
terminal T selectionne lui-m@me un niveau de securite 
d'authentification NAU parmi plusieurs connus 

15 prealablement . En reponse a 1 ' identif icateur 
selectionne NAU transmis par le terminal au serveur 
d'authentification SA, ce dernier transmet des 
identif icateurs de service SID correspondant au 
niveau d' authentif ication selectionne par 1' usager a 

20 1' etape F2 . L' usager selectionne le service, puis le 
terminal transmet 1 ' identif icateur de service SID au 
serveur d ' authentif ication SA, a 1 ' etape F3 . Ensuite 
dans les Stapes suivantes F4 a F16, 1 'etape F6 
correspondant k 1' etape E3 est supprimee. 

25 

En variante lorsque dans les premiere et 
deuxieme realisations le serveur d ' authentif ication 
SA transmet 1 ' identif icateur d'usager USID, le 
serveur d ' authentif ication peut egalement transmettre 
30 d»autres parametres sur 1« usager comme le nom, le 
prenom, etc. 
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La variante principale de la premiere 
realisation peut §tre appliquee dans le contexte de 
la deuxieme realisation. 
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Li.' invention decrite ici concerne un precede et 
un serveur* de selection d ' authentif ication. Selon une 
implementation preferee, les etapes du precede sont 
5 determinees par les instructions d^un programme de 
selection d ' authentif ication incorpore dans un 
serveur d ' authentif ication SA, et le procede selon 
1' invention est mis en oeuvre lorsque ce programme est 
charge dans un ordinateur dont le f onctionnement est 
10 alors commande par 1 ' execution du programme. 

En consequence, 1 ' invention s' applique egalement 
a un programme d ' ordinateur , notamment un programme 
d' ordinateur sur ou dans un support d • informations , 
adapte a mettre en oeuvre 1' invention. Ce programme 
15 peut utiliser n»importe quel langage de prograramation 
et etre sous la forme de code executable ou dans 
n'importe quelle forme souhaitable pour implementer 
un procede selon 1' invention. 

Le support d * inf oinnations peut §tre n'importe 
quelle entite ou dispositif capable de stocker le 
programme. Par exemple, le support peut comporter un 
moyen de stockage, tel qu'un,e ROM, . par exeraple un CD 
ROM ou une ROM de circuit microelectronique , ou 
encore un moyen d' enregistrement magnStique, par 
25 exemple une disquette (floppy disc) ou un disque dur. 

D ' autre part , le support d ' informations peut 
etre un support transmissible tel qu'un signal 
electrique ou optique, qui peut §tre achemine via un 
cable electrique ou optique, par radio ou par 
d'autres moyens . Ue programme selon 1 ' invention peut 
etre en particulier telecharge sur un reseau de type 
internet . 

Altemativement, le support d ' informations peut 
etre un circuit integre dans lequel le programme est 
incorporS, le circuit etant adapts pour executer ou 
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pour etre utilise dans 1' execution du procede selon 
1 • invention. 
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REVENDI CATI ONS 



1 - Serveur d ' authentif ication pour selectionner 
automat iquement I'une de plusieurs authentif ications 
5 identifiees respectiveinent par des identif icateurs 
d ' authentif ication (AUID) afin d » authentif ier un 
usager d'un terminal (T) pour 1 * autoriser a acceder a 
un service dispense par un serveur de service (SE) 
d'un prestataire identifie par un identif icateur de 
10 prestataire (PRID) a t ravers un reseau de 
communication (RC) , caracterise en ce qu'il comprend 

un moyen (MSA) pour selectionner dans une 
memoire (TAl a TA6) un identif icateur 

15 d' authentif ication (AUID) en fonction de 

1 ' identif icateur de prestataire (PRID) et du type du 
terminal et/ou du type du reseau de communication, et 
un moyen (MA) pour authentifier 1' usager selon un 
processus d' authentif ication associe & 

20 1 ' identif icateur d ' authentif ication (AUID). 

2 - Seorveur d' authentif ication conforme ^ la 
revendication 1, dans lequel le moyen pour 
selectionner (MSA) selectionne (E4) 1 * identif icateur 

25 d' authentif ication (AUID) en fonction d'un niveau de 
securite d ' authentif ication (NAU) en correspondance a 
1 ' identif icateur de prestataire (PRID) . 

3 - Serveur d' authentif ication conforme a la 
30 revendication 1 ou 2, caracterisS en ce que le moyen 

pour selectionner (MSA) selectionne 1 » identif icateur 
d' authentif ication (AUID) en fonction de regies 
d' authentif ication (RE) associees k 1 ' identif icateur 
de prestataire (PRID) et appliquSes a au moins un 
35 niveau de securite d ' authentif ication (NAU) 
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correspondant a 1 » identif icateur de prestataire 
(PRID) et/ou au type de terminal et/ou au type de 
reseau de commimication. 

5 4 - Serveur d ' authentif ication conforme a I'une 

quelconque des revendications 1 a 3, caracterise en 
ce que le serveur de service (SE) comprend un moyen 
(API) pour transmettre (E2) au moins 1 ' identif icateur 
de prestataire (PRID) et le type de terminal et/ou le 
10 type de reseau de communication au moyen pour 
select ionner (MSA) en reponse a une connexion etablie 
entre le terminal d'usager (T) et le serveur de 
service (SE) . 

15 5 - Serveur d' authentif ication conforme a I'une 

quelconque des revendications 1^3, dans lequel le 
moyen pour select ionner (MSA) transmet au terminal 
(F2) une liste de services ({SID}) identifies par des 
identif icateurs de service (SID) en reponse a une 

20 connexion etablie entre le terminal d'usager (T) et 
le moyen pour selectiOnner (MSA) , et le terminal 
transmet (F3) au moyen , pour select ionner un 
identif icateur de service (SID) d'un service 
selectionne par I'usager dans la liste transmise, 

25 afin que le moyen pour select ionner selectionne 
1 ' identif icateur d • authentif ication (AUID) en 
fonction egalement de 1 ' identif icateur de service 
selectionne (SID) . 

30 6 - Serveur d ' authentif ication conforme a I'une 

quelconque des revendications 1 a 5, dans lequel le 
moyen pour selectionner (MSA) transmet au terminal 
(F2) une liste ({PRID}) d ' identif icateurs de 
prestataire (PRID) en reponse a une connexion etablie 

35 entre le terminal d'usager (T) et le moyen pour 
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selectionner (MSA), et le terminal transmet (F3)" au 
moyen pour selectionner un identif icateur de 
. prestataire (PRID) selectionne par 1 ' usager dans la 
liste transmise, afin que le moyen pour selectionner 
5 selectionne 1 Mdent if icateur d » authentif ication 
(AUID) en fonction notamment de 1 * identif icateur de 
prestataire (PRID) selectionne. 

7 - Ser^eur d * authentif ication conforme a I'une 
10 quelconque des revendi cat ions 1 k 6, dans lequel le 

moyen pour authentifier (MA) transmet (E13, F16) au 
serveur de service (SE) au moins le type du terminal, 
le type du reseau de communication, 1 ' identif icateur 
de service (SID) transmis, et un niveau de securite 
15 (NAU) de 1 'authentif ication diesigne par 

1 ' identif icateur d ' authentif ication selectionne 
(AUID), lorsque I'usager est authentif ie. 

8 - Serveur d' authentif ication confoirme S l'\jne 
20 quelconque des revendi cat ions 1 a 6, caracterise en 

ce qu'il comprend deux serveurs distincts incluant 
respect ivement le moyen pour, selectionner (MSA) et le 
moyen pour authentifier (MA) . 

25 9 - Proc^de pour selectionner automat iquement 

I'une de plusieurs authentif icat ions identif iees 
respect ivement par des identif icat eurs 

d' authentif ication (AUID) afin d' authentif ier un 
usager d'un terminal (T) pour I'autoriser a acceder k 

30 un service dispense par un serveur de service (SE) 
d'un prestataire identif ie par un identif icateur de 
prestataire (PRID) S travers un reseau de 
communication (RC) , caracterise en ce qu'il comprend 
les etapes de : 
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- select ionner dans una memoir e (TAl a TA6)' xxn 
identif icateur d ' authentif ication (AUID) en fonction 
de 1 ' identif icateur de prestataire (PRID) et du type 
du terminal et/ou du type du r^seau de communication/ 
5 et 

authentifier I'usager selon un processus 
d ' authentif ication associe a 1 ' identif icateur 
d' authentif ication (AUID) . 

10 10 - Programme d'ordinateur sur un support 

d ■ informations, charge et execute dans un serveur 
d' authentif ication (SA) pour selectionner 

automat iquement I'une de plusieurs authentif ications 
identifiees respect ivement par des identif icateurs 

15 d • authentif ication (AUID) afin d ' authentif ier un 
usager d'un terminal (T) pour 1 ' autoriser a acceder a 
un service dispense par un seirveur de service (SE) 
d'un prestataire identif ie par un identif icateur de 
prestataire (PRID) k travers un reseau de 

20 - communication (RC) , ledit programme comportant des 
instructions de programme pour : 

- selectionner (E6) dans une memoire (TAl i. TA6) 
un identif icateur d' authentif ication (AUID) en 
fonction de 1 ' identif icateur de prestataire (PRID) et 

25 du type du terminal et/ou du type du reseau de 
communication, et 

authentifier I'usager selon un processus 
d ' authentif ication associe a 1 ' identif icateur 
d ' authentif ication (AUID) . 
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